Upozorenje o novim prijetnjama: Hakeri se pretvaraju da su tražitelji posla
Stručnjaci za cyber sigurnost nedavno su upozorili na nove taktike hakerskih skupina koje se posebno ciljaju na regrutere i organizacije. Hakeri sada imitiraju tražitelje posla, koristeći opasne malware alate za pristup podacima. Prema istraživačima iz DomainTools, nedavno je otkriven zlonamjerni akter poznat kao FIN6 koji se koristi ovom metodom.
Kako funkcionira ova hakerska taktika?
Prema navodima stručnjaka, proces počinje stvaranjem lažnih profila na LinkedIn-u. Hakeri zatim razvijaju lažne web stranice za životopise, a domene za ove stranice kupuju anonimno putem GoDaddy-a. Ove web stranice su domaćini na Amazon Web Services (AWS), što im omogućuje izbjegavanje brzog flaganja ili uklanjanja. Nakon što uspostave kontakt s regruterima, menadžerima ljudskih resursa ili vlasnicima poduzeća putem LinkedIn-a, razvijaju odnos i prebacuju razgovor na email.
Specifičnosti lažnog životopisa
Hakeri zatim dijele web stranicu s lažnim životopisom koja filtrira posjetitelje prema operativnom sustavu i drugim parametrima. Na primjer, korisnici koji dolaze putem VPN-a ili iz oblaka, kao i oni koji koriste macOS ili Linux, dobijaju benigni sadržaj. S druge strane, korisnicima koji su identificirani kao potencijalni ciljevi prvo se prikazuje lažni CAPTCHA, nakon čega im se nudi .ZIP arhiva za preuzimanje.
Opasnosti skrivenog malware-a
Ova arhiva, koju regruteri smatraju životopisom, zapravo sadrži prikriveni Windows shortcut file (LNK) koji pokreće skriptu za preuzimanje “More Eggs” backdoora. “More Eggs” je modularni backdoor koji može izvršavati naredbe, krasti prijavne podatke, isporučivati dodatne terete i izvoditi PowerShell napade koristeći jednostavne, ali učinkovite tehnike socijalnog inženjeringa i napredne metode izbjegavanja detekcije.
Reakcija AWS-a i sigurnosne zajednice
AWS je reagirao zahvaljujući sigurnosnoj zajednici na ovim otkrićima, naglašavajući da ovakve kampanje krše njihove uvjete korištenja i da se često uklanjaju s platforme. “AWS ima jasne uvjete koji zahtijevaju od naših korisnika korištenje naših usluga u skladu s važećim zakonima,” izjavio je glasnogovornik AWS-a. “Kada primimo izvješća o potencijalnim kršenjima naših uvjeta, brzo djelujemo kako bismo pregledali situaciju i poduzeli korake za onemogućavanje zabranjenog sadržaja. Cijenimo suradnju s zajednicom sigurnosnih istraživača i potičemo ih da prijave sumnjive aktivnosti putem našeg posebnog postupka za prijavu zloupotrebe.”
Zaključak
Ove nove prijetnje naglašavaju važnost opreza prilikom korištenja platformi za zapošljavanje i interakcije s nepoznatim korisnicima. Organizacije i regruteri trebaju biti svjesni metoda koje cyber kriminalci koriste kako bi zaštitili svoje podatke i mreže. Edukacija i svijest o ovim rizicima ključevi su za održavanje sigurnosti u digitalnom okruženju.
